Splunk App for PCI Compliance の "Service Details" レポートを表示させたところ、対象イベントが存在するにも関わらずデータが何も表示されません。解決策を教えてください。
本件、Splunk Enterprise ver.6.5.x より rename コマンドの扱いが変更された影響により、"Service Details" が正しく表示されなくなる製品の不具合となります。renameコマンドの詳細につきましては、下記のマニュアルをご参照ください。
解決策としては、デフォルトSPLから下記のとおり rename コマンドを取り除くことで、対象のレポートが正しく表示されます。
| `localprocesses_tracker` | `get_interesting_processes_by_pci_domain` | `services_tracker` | `get_interesting_services_by_pci_domain` | `listeningports_tracker` | `get_interesting_ports_by_pci_domain` | `unprepend_assets(dest)` | search $asset$ $category$ $pci_domain$ $prohibited_only$ $insecure_only$ $service$ | `get_transport_dest_port` | where isnotnull(asset_id) AND asset_id!="da39a3ee5e6b4b0d3255bfef95601890afd80709" | eventstats values(process) as process,values(service) as service,values(transport_dest_port) as port,values(note) as note by asset_id | eval port=mvfilter(NOT match(port,"unknown/0")) | eval service=mvfilter(NOT match(service,"unknown")) | dedup asset_id | sort - process,service,port
なお、本不具合は、ver.3.3.0 および ver.3.3.1 で報告され、ver. 3.4.0 にて修正されております。